SaaS工作流访问控制模型的设计.docVIP

SaaS工作流访问控制模型设计 摘 要： 在saas中，人们正逐渐采用基于服务的业务流程来满足企业业务流程的灵活性和定制性。从实现工作流访问控制的角度，应当使工作流访问控制模型与流程模型分离，以支持在流程改变或组织机构变化时减少对彼此的影响。为此，设计和实现了一个面向服务的、支持访问控制模型和流程模型分离的saas工作流访问控制模型—rbswac（role-based service workflow accesss control ）。该模型可提高访问控制的适应性和灵活性，实现访问控制模型同流程模型的松耦合和灵活性。 关键词： saas； 访问控制模型； 服务； 工作流 designing a saas workflow access control model wang fengjing, zhang qunfang （beijing tongfang software， beijing， 100080 china） abstract: service oriented workflow has been adopted in the saas application to meet the flexibility and customization of enterprise information system, which emphasizes the separation of access control model and the workflow model. in this paper the authors design and implement a service oriented saas workflow access control model-rbswac(or role-based service worklfow accesss control), which may enhance the flexibility and adaptability of access control and realize the loose coupling and agileness between the access control model and the workflow model. key words: saas； access control model； service； workflow 0 引言 saas是software as a service(软件即服务)的简称，是一种通过互联网向公众特别是中小企业提供应用软件的模式。saas软件厂商将应用软件统一部署在中心服务器上，租户可以根据自己的实际需求，通过互联网向厂商定购所需的应用软件服务。saas本质就是通过在线租赁的方式替代传统的信息化建设投资，并保证租户充分享有信息化技术的便利、效率和专业的信息化服务。 在saas中为了支持客户的实际业务需求，需采用基于服务的业务流程进行支撑，一方面以支持多企业的业务流程的灵活性和定制化，另一方面也可支持灵活的访问权限控制[1]。随着信息技术和企业业务的发展，企业的组织结构更加动态化，业务流程也经常发生变化，这些变化增加了实现工作流访问控制的复杂性。从实现工作流访问控制的角度，应当使工作流访问控制模型与流程模型分离，这样在流程改变时，通过工作流访问控制的调整可以避免影响到企业的组织安全策略[2，3]。同时，当企业的组织结构发生变化时,也可以利用工作流访问控制的调整避免对流程模型产生影响,有助于支持saas业务流程的灵活性和安全性[4]。 本文设计和实现了一个面向服务的、支持访问控制模型和流程模型分离的saas工作流访问控制模型—rbswac（role-based service workflow accesss control ）。 1 rbswac模型定义 在rbswac模型中，流程中的任务是作为抽象服务存在的，在具体运行时任务将被映射到具体的服务实例。服务是实施授权的基本单元。一方面，服务作为执行流程任务的具体执行体；另一方面，作为任务的具体执行体的服务又在访问控制模型中作为角色、权限之间的关联者进行访问控制权限的定义，在流程运行而进行服务调用时，将相应权限与相应角色的用户进行关联[5]。因此，在rbswac中，访问控制模型和流程模型通过服务就关联在了一起，实现了访问控制模型与流程模型的松藕合关系。 当用户执行任务时，系统根据定义的访问控制模型实例化任务到具体服务实例，授权用户可以调用服务实例的操作，当任务完成时系统将删除服务实例，用户的权限自动取消，这样就可以实现动态授权原则。同时，本模型也支持通过设定流程中任务间的冲突关系，在流程运行时将任务间冲突映射到服务间冲突关系，从而达到职责